Na vida profissional, quando uma pessoa trabalha para uma empresa, esta empresa entrega para os seus funcionários diversas “ferramentas” para que as suas atividades possam ser desempenhadas, como e-mails corporativos, CRMs, programas computacionais, acessos a diversos sistemas operacionais e outros. Veja-se que estas “ferramentas” são da empresa, não do funcionário, portanto, diferem de equipamentos particulares do funcionário, como, por exemplo, o telefone privado do empregado, o notebook particular e outros que foram adquiridos pelo próprio funcionário.

            Um dos aspectos mais importantes na segurança da informação é o não compartilhamento de senhas. Isso vale tanto para senhas privadas, ou seja, aquelas utilizadas na vida particular de cada um (como para acesso a smarphones, computadores, aplicativos privados), como na vida profissional, ou seja, nos equipamentos, sistemas e aplicativos utilizados pela pessoa para suas atividades de trabalho. Isto implica no fato de que o colaborador deve evitar usar as mesmas senhas de sua vida privada também nos sistemas e aplicativos do ambiente empresarial.

Esta introdução é fundamental para se compreender que a empresa deve ter livre acesso aos sistemas e programas fornecidos por ela aos seus funcionários para o desenvolvimento de suas atividades. Não pode, porém, ter acesso aos dispositivos particulares dos funcionários, pois estaria sendo invadida a privacidade deles.

Veja-se, por exemplo, o caso dos e-mails corporativos, ou seja, aqueles que a própria empresa fornece aos funcionários para que estes possam comunicar suas atividades realizadas na empresa e para a empresa. O Tribunal Superior do Trabalho (TST) entende que o e-mail corporativo que o empregado utiliza na empresa possui natureza jurídica de ferramenta de trabalho, pois é (ou deve ser) utilizada só para uso profissional. Por este motivo, o TST entendeu que não configura prova ilícita o monitoramento do e-mail corporativo do empregado, ou seja, a empresa pode acessar as mensagens eletrônicas do empregado na conta de e-mail de trabalho (RR – 1347-42.2014.5.12.0059, DEJT 26/06/2020). Portanto, tal fiscalização por parte da empresa não configura violação à intimidade, via privada, honra, imagem, ou inviolabilidade de sigilo de correspondência, comunicações e dados.

            Assim, como o e-mail corporativo, entende-se que o acesso às informações da empresa constantes em outras ferramentas corporativas disponibilizadas por ela para seus funcionários, como CRMs, aplicativos, sistemas contábeis e outros, também possam ser acessadas, sem que constitua uma violação constitucional.

            Agora, e se apenas um funcionário da empresa tiver acesso à(s) senha(s) de acesso a alguma das ferramentas que a empresa fornece para o desenvolvimento de suas atividades e este funcionário negar, ou não puder dar o acesso a estas ferramentas, seja porque foi demitido, morreu, ou adoeceu? O que fazer para que a empresa tenha acesso aos seus próprios dispositivos, ou sistemas, sem que isto constitua alguma infração à privacidade, ou segurança das informações?

            Estes casos são mais comuns do que possa parecer. Situações como a morte e a doença, poderiam, em tese, ser considerados como caso fortuito. Caso fortuito e um fato ou ato alheio à vontade das partes, que pode ser ligado a um comportamento humano ou ao funcionamento de algum maquinário, ou ao próprio risco de atividade da empresa, como greve, motim, guerra, defeito oculto em alguma mercadoria e outra situações. Neste sentido, o Código Civil, no art. 393, determina que:

Art. 393. O devedor não responde pelos prejuízos resultantes de caso fortuito ou força maior, se expressamente não se houver por eles responsabilizado.

Parágrafo único. O caso fortuito ou de força maior verifica-se no fato necessário, cujos efeitos não era possível evitar ou impedir.” (grifado).

Já a retaliação, ou o descumprimento de atividades por parte de algum funcionário podem caracterizar descumprimento contratual e, dependendo das circunstâncias, poderá acarretar despedida por justa causa do funcionário, na forma descrita no art. 482, da CLT, seja por incontinência de conduta, ou mau comportamento (alínea “b”), seja por desídia no desempenho de suas funções (alínea “e”), ato de indisciplina ou insubordinação (alínea “h”), ou por abandono de emprego (alínea “i”).

Desta forma, importante ressaltar que os motivos pelos quais o funcionário não entregue as senhas de acesso dos equipamentos, ou sistemas da empresa, poderá variar, podendo ser entendido como caso fortuito (doença, morte), ou descumprimento contratual (retaliações e negativas de cumprimento às obrigações contratuais, negando de forma proposital a entrega de senhas de acesso).

No que diz respeito à segurança da informação, em ambos os casos, a primeira lição é entender que, para que não sejam inviabilizadas as atividades da empresa e que eventuais acessos a estas senhas não seja interpretado como um incidente de segurança, é encontrar um mecanismo que, ao mesmo tempo, torne acessível o sistema para as finalidades da empresa, mas que, ao mesmo tempo, não estenda este acesso a um grande número de pessoas. Assim, seria aconselhável que outra pessoa, como um suplente, por exemplo, também tivesse acesso às senhas de acesso. A segunda lição, é a adoção, por parte da empresa, de mecanismos de gerenciamento de senhas corporativas de seus colaboradores, permitindo que sejam efetuadas trocas destas senhas de forma remota, sempre que necessário.

            Mas, e se não houver um “suplente”, que tenha senha própria para acesso, e se a empresa descobrir a senha do funcionário para acessar ao sistema e trocar esta senha? Embora a senha pessoal seja um dado pessoal, neste caso, como se trata de ferramenta da empresa (e não do funcionário), não se entende, s.m.j., como sendo uma violação a um dado pessoal do empregado. O acesso às ferramentas da empresa, em casos como de doença, morte, ou negativa proposital do funcionário de permitir este acesso, neste caso, é ainda mais justificável, pois a atividade da empresa não pode ser inviabilizada por estas situações.

            Aliás, ainda que se pudesse cogitar alguma responsabilidade à empresa em tais situações, é importante ressaltar que elas poderiam ser afastadas em razão de excludentes de responsabilidade, ou seja, situações que afastam o dever de indenizar porque o ordenamento jurídico assim o permite. São exemplos destas excludentes: o estado de necessidade, a legítima defesa, o exercício regular de um direito, o estrito cumprimento de um dever legal, a culpa exclusiva da vítima, o fato de terceiro, a força maior e o caso fortuito.

No entanto, o acesso a uma senha corporativa de alguém pode ser interpretada como um incidente de segurança, pois, como a senha de acesso é uma “chave” do funcionário para ingressar nos sistemas da empresa, o fato de alguém descobrir esta senha, seja porque era uma senha compartilhada com outra pessoa, seja porque era muito fácil descobri-la, já identifica uma falha de segurança que precisa ser corrigida.

            Porém, ao descobrir a senha do funcionário que, ou se nega, ou não pode entregar o acesso ao sistema para a empresa, tal situação não poderia ser interpretada como uma violação de privacidade, pois a “chave” (senha) não é do funcionário, mas da empresa, recomendando-se, assim, a imediata alteração desta senha. Além disso, para que ocorra uma violação à privacidade, é necessário haver um dano ao titular. Neste caso, como a senha de acesso às ferramentas corporativas não são entendidas como sendo senhas privativas do funcionário (ou seja, não são como aquelas de acessos a equipamentos particulares dele), entende-se que não há qualquer dano ao empregado, ou violação à sua privacidade.

            Importante lembrar que a LGPD, no art. 43, I, II e III, determina que o agente de tratamento (no exemplo acima, a empresa) não pode ser responsabilizado quando provar: i) que não realizou o tratamento de dados pessoais que lhes é atribuído; ii) que, embora tenha realizado o tratamento dos dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados) e iii) quando o dano for decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Diego Richard Ronconi